知財求人 - 知財ポータルサイト「IP Force」
▶ クァンタムシーテック(グゥアンドン)カンパニー,リミテッドの特許一覧
特表2019-537402量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】特表2019-537402(P2019-537402A)
(43)【公表日】2019年12月19日
(54)【発明の名称】量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステム
(51)【国際特許分類】
H04L 9/12 20060101AFI20191122BHJP
【FI】
H04L9/00 631
【審査請求】有
【予備審査請求】未請求
【全頁数】27
(21)【出願番号】特願2019-548511(P2019-548511)
(86)(22)【出願日】2017年11月22日
(85)【翻訳文提出日】2019年5月27日
(86)【国際出願番号】CN2017112256
(87)【国際公開番号】WO2018095322
(87)【国際公開日】20180531
(31)【優先権主張番号】201611070527.7
(32)【優先日】2016年11月28日
(33)【優先権主張国】CN
(81)【指定国】
AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,ST,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,KM,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DJ,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IR,IS,JO,JP,KE,KG,KH,KN,KP,KR,KW,KZ,LA,LC,LK,LR,LS,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SA,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT
(71)【出願人】
【識別番号】519189980
【氏名又は名称】クァンタムシーテック(グゥアンドン)カンパニー,リミテッド
(74)【代理人】
【識別番号】100140109
【弁理士】
【氏名又は名称】小野 新次郎
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100106208
【弁理士】
【氏名又は名称】宮前 徹
(74)【代理人】
【識別番号】100120112
【弁理士】
【氏名又は名称】中西 基晴
(74)【代理人】
【識別番号】100138759
【弁理士】
【氏名又は名称】大房 直樹
(72)【発明者】
【氏名】チェン,チン
(72)【発明者】
【氏名】シャオ,シャン
(72)【発明者】
【氏名】リン,ジアイ
(72)【発明者】
【氏名】ディン,ソンヤン
(72)【発明者】
【氏名】チェン,ジエロン
(57)【要約】
本発明は、量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステムを提供する。方法は、量子鍵発行プラットフォームが量子鍵を量子鍵チップに注入し、量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられることと、量子鍵発行プラットフォームが鍵配布センターKDCと予め交渉することで量子鍵を取得することと、KDCが識別情報と識別情報に対応する量子鍵とをバインディングするように、量子鍵発行プラットフォームが量子鍵の識別情報をKDCに送信することとを含む。KDCは、適用を容易にするように量子鍵を効果的に管理できるようにする。チップとSSLVPNアクセス方式を組み合わせて、モバイル端末における量子鍵の適用の利便性を向上させる。非対称アルゴリズムによる従来のSSL VPNのセキュリティリスクは解決された。
【特許請求の範囲】
【請求項1】
量子鍵チップの発行方法であって、
量子鍵発行プラットフォームが量子鍵を量子鍵チップに注入し、前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記量子鍵発行プラットフォームが鍵配布センターKDCと予め交渉することで前記量子鍵が取得されることと、
前記量子鍵発行プラットフォームが前記量子鍵の識別情報をKDCに送信して、前記KDCが前記識別情報と前記識別情報に対応する量子鍵とをバインディングするようにすることと、
を含むことを特徴とする量子鍵チップの発行方法。
量子鍵発行プラットフォームが量子鍵を量子鍵チップに注入し、前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記量子鍵発行プラットフォームが鍵配布センターKDCと予め交渉することで前記量子鍵が取得されることと、
前記量子鍵発行プラットフォームが前記量子鍵の識別情報をKDCに送信して、前記KDCが前記識別情報と前記識別情報に対応する量子鍵とをバインディングするようにすることと、
を含むことを特徴とする量子鍵チップの発行方法。
【請求項2】
前記量子鍵発行プラットフォームがKDCと予め交渉することで量子鍵を取得することは、具体的には、
前記量子鍵発行プラットフォームが、自分に接続された第1の量子鍵管理端末と対応関係を確立し、前記鍵配布センターKDCが、自分に接続された第2の量子鍵管理端末と対応関係を確立することと、
前記量子鍵発行プラットフォームとKDCが導出される量子鍵の数を交渉し、前記量子鍵発行プラットフォームが前記KDCから第2の量子鍵管理端末のIDを取得し、前記第1の量子鍵管理端末のIDを前記KDCに通知することと、
前記量子鍵発行プラットフォームとKDCとがそれぞれ、交渉した数の量子鍵を、自分に対応する量子鍵管理端末に要求して受信し、前記量子鍵は、前記第1の量子鍵管理端末が前記量子鍵発行プラットフォームに送信すると共に、前記量子鍵は、前記第2の量子鍵管理端末が前記KDCに送信することと、
を含むことを特徴とする請求項1に記載の量子鍵チップの発行方法。
前記量子鍵発行プラットフォームが、自分に接続された第1の量子鍵管理端末と対応関係を確立し、前記鍵配布センターKDCが、自分に接続された第2の量子鍵管理端末と対応関係を確立することと、
前記量子鍵発行プラットフォームとKDCが導出される量子鍵の数を交渉し、前記量子鍵発行プラットフォームが前記KDCから第2の量子鍵管理端末のIDを取得し、前記第1の量子鍵管理端末のIDを前記KDCに通知することと、
前記量子鍵発行プラットフォームとKDCとがそれぞれ、交渉した数の量子鍵を、自分に対応する量子鍵管理端末に要求して受信し、前記量子鍵は、前記第1の量子鍵管理端末が前記量子鍵発行プラットフォームに送信すると共に、前記量子鍵は、前記第2の量子鍵管理端末が前記KDCに送信することと、
を含むことを特徴とする請求項1に記載の量子鍵チップの発行方法。
【請求項3】
セキュアソケットレイヤバーチャルプライベートネットワークSSL VPN通信システムに適用される量子鍵チップの適用方法であって、当該システムは、クライアント側SSLVPNと、サーバー側SSL VPNと、鍵配布センターKDCと、量子鍵チップとを含み、
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、当該方法は、
前記クライアント側SSL VPNが、前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSLVPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNが、前記サーバー側SSL VPNと交渉して、前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNが前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をプリマスター鍵として取得するようにし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCは前記識別情報と前記識別情報に対応する量子鍵とを予めバインディングすることと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNとは、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵を利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、
を含むことを特徴とする量子鍵チップの適用方法。
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、当該方法は、
前記クライアント側SSL VPNが、前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSLVPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNが、前記サーバー側SSL VPNと交渉して、前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNが前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をプリマスター鍵として取得するようにし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCは前記識別情報と前記識別情報に対応する量子鍵とを予めバインディングすることと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNとは、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵を利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、
を含むことを特徴とする量子鍵チップの適用方法。
【請求項4】
前記クライアント側SSL VPNが、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することは、具体的には、
前記クライアント側SSL VPNが、前記量子鍵チップから、プリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが、前記第2の乱数と予め約束したアルゴリズムとを前記量子鍵チップに通知して、前記量子鍵チップから返されたセッション鍵を受信し、前記セッション鍵は、プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムとから前記量子鍵チップによって計算されること、
を含むことを特徴とする請求項3に記載の量子鍵チップの適用方法。
前記クライアント側SSL VPNが、前記量子鍵チップから、プリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが、前記第2の乱数と予め約束したアルゴリズムとを前記量子鍵チップに通知して、前記量子鍵チップから返されたセッション鍵を受信し、前記セッション鍵は、プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムとから前記量子鍵チップによって計算されること、
を含むことを特徴とする請求項3に記載の量子鍵チップの適用方法。
【請求項5】
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、当該方法は、
前記クライアント側SSL VPNが、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、
を含むことを特徴とする請求項3又は4に記載の量子鍵チップの適用方法。
前記クライアント側SSL VPNが、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、
を含むことを特徴とする請求項3又は4に記載の量子鍵チップの適用方法。
【請求項6】
前記クライアント側SSL VPN又は量子鍵チップが、セッション鍵を利用して、適用データを暗号化及び/又は復号化することをさらに含むことを特徴とする請求項3に記載の量子鍵チップの適用方法。
【請求項7】
セキュアソケットレイヤバーチャルプライベートネットワークSSL VPN通信システムに適用される量子鍵チップの適用方法であって、当該システムは、クライアント側SSLVPNと、サーバー側SSL VPNと、鍵配布センターKDCと、量子鍵チップとを含み、
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が正常である場合に、当該方法は、
前記クライアント側SSL VPNが前記サーバー側SSL VPNと交渉して、前記量子鍵チップにおける量子鍵をセッション鍵とし、前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNが、前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をセッション鍵として取得するようにし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCが前記識別情報と前記識別情報に対応する量子鍵とを予めバインディングすること、
を含むことを特徴とする量子鍵チップの適用方法。
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が正常である場合に、当該方法は、
前記クライアント側SSL VPNが前記サーバー側SSL VPNと交渉して、前記量子鍵チップにおける量子鍵をセッション鍵とし、前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNが、前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をセッション鍵として取得するようにし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCが前記識別情報と前記識別情報に対応する量子鍵とを予めバインディングすること、
を含むことを特徴とする量子鍵チップの適用方法。
【請求項8】
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、当該方法は、
前記クライアント側SSL VPNが、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、
を含むことを特徴とする請求項7に記載の量子鍵チップの適用方法。
前記クライアント側SSL VPNが、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、
を含むことを特徴とする請求項7に記載の量子鍵チップの適用方法。
【請求項9】
前記クライアント側SSL VPN又は量子鍵チップが、セッション鍵を利用して、適用データを暗号化及び/又は復号化することを、さらに含むことを特徴とする請求項7に記載の量子鍵チップの適用方法。
【請求項10】
発行プラットフォームであって、
鍵配布センターKDCと予め交渉することで取得された量子鍵を量子鍵チップに注入するための注入ユニットと、
前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられるバインディングユニットと、
前記KDCが前記識別情報と前記識別情報に対応する量子鍵をバインディングするように、前記量子鍵の識別情報を前記KDCに送信するための送信ユニットと、
を含むことを特徴とする発行プラットフォーム。
鍵配布センターKDCと予め交渉することで取得された量子鍵を量子鍵チップに注入するための注入ユニットと、
前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられるバインディングユニットと、
前記KDCが前記識別情報と前記識別情報に対応する量子鍵をバインディングするように、前記量子鍵の識別情報を前記KDCに送信するための送信ユニットと、
を含むことを特徴とする発行プラットフォーム。
【請求項11】
量子鍵チップと、クライアント側SSL VPNと、サーバー側SSLVPNと、鍵配布センターKDCとを含む量子鍵適用システムであって、
前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵交渉が正常であると確定した場合、前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信し、前記サーバー側SSLVPNと交渉して前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信し、
前記量子鍵チップは、前記第1の乱数を生成し、
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して、前記KDCから量子鍵をプリマスター鍵として取得し、
前記KDCは、前記識別情報と前記識別情報に対応する量子鍵とを予めバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する、
ことを特徴とする量子鍵適用システム。
前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵交渉が正常であると確定した場合、前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信し、前記サーバー側SSLVPNと交渉して前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信し、
前記量子鍵チップは、前記第1の乱数を生成し、
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して、前記KDCから量子鍵をプリマスター鍵として取得し、
前記KDCは、前記識別情報と前記識別情報に対応する量子鍵とを予めバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する、
ことを特徴とする量子鍵適用システム。
【請求項12】
前記クライアント側SSL VPNが、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して予め約束したアルゴリズムによってセッション鍵を取得することは、具体的には、
前記クライアント側SSL VPNが、前記量子鍵チップからプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが、前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップに通知し、前記量子鍵チップが、前記プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数、予め約束したアルゴリズムとを利用してセッション鍵を算出し、前記セッション鍵を前記クライアント側SSLVPNに送信する、
ことを特徴とする請求項11に記載の量子鍵適用システム。
前記クライアント側SSL VPNが、前記量子鍵チップからプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが、前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップに通知し、前記量子鍵チップが、前記プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数、予め約束したアルゴリズムとを利用してセッション鍵を算出し、前記セッション鍵を前記クライアント側SSLVPNに送信する、
ことを特徴とする請求項11に記載の量子鍵適用システム。
【請求項13】
前記クライアント側SSL VPNは、さらに、クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が異常であると確定した場合、生成された第1の乱数を前記サーバー側SSLVPNに送信し、
前記サーバー側SSL VPNは、生成された第2の乱数を前記クライアント側SSL VPNに送信し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する、
ことを特徴とする請求項11又は12に記載の量子鍵適用システム。
前記サーバー側SSL VPNは、生成された第2の乱数を前記クライアント側SSL VPNに送信し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する、
ことを特徴とする請求項11又は12に記載の量子鍵適用システム。
【請求項14】
前記クライアント側SSL VPNはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化するか、
又は、
前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する、
ことを特徴とする請求項11に記載の量子鍵適用システム。
又は、
前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する、
ことを特徴とする請求項11に記載の量子鍵適用システム。
【請求項15】
量子鍵チップと、クライアント側SSL VPNと、サーバー側SSLVPNと、鍵配布センターKDCとを含む量子鍵適用システムであって、
前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵の交渉が正常であると確定した場合に、前記サーバー側SSL VPNと交渉して前記量子鍵チップにおける量子鍵をセッション鍵とし、前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信し、
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して、前記KDCから量子鍵をセッション鍵として取得し、
前記KDCは、前記識別情報と前記識別情報に対応する量子鍵とを予めバインディングし、前記量子鍵チップのID 及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられる、
ことを特徴とする量子鍵適用システム。
前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵の交渉が正常であると確定した場合に、前記サーバー側SSL VPNと交渉して前記量子鍵チップにおける量子鍵をセッション鍵とし、前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信し、
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して、前記KDCから量子鍵をセッション鍵として取得し、
前記KDCは、前記識別情報と前記識別情報に対応する量子鍵とを予めバインディングし、前記量子鍵チップのID 及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられる、
ことを特徴とする量子鍵適用システム。
【請求項16】
前記クライアント側SSL VPNはさらに、サーバー側SSL VPNとの量子鍵の交渉が異常であると確定した場合に、生成された第1の乱数を前記サーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する、
ことを特徴とする請求項15に記載の量子鍵適用システム。
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する、
ことを特徴とする請求項15に記載の量子鍵適用システム。
【請求項17】
前記クライアント側SSL VPNはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化するか、
又は、
前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する、
ことを特徴とする請求項15に記載の量子鍵適用システム。
又は、
前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する、
ことを特徴とする請求項15に記載の量子鍵適用システム。
【発明の詳細な説明】
【発明の詳細な説明】
【0001】
本出願は、2016年11月28日に中国特許庁に提出された、出願番号が201611070527.7であって、発明の名称が「量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステム」である中国特許出願の優先権を主張するものであり、その全内容を本出願に参照により援用する。
【技術分野】
【0002】
本発明は、量子通信技術分野に関し、特に、量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステムに関する。
【背景技術】
【0003】
インターネットデータ技術の進歩とビジネスモデルの発展に伴い、インターネット技術が急成長している今日では、情報化技術とネットワーク技術を使用することで、ユーザーがビジネスプロセスを改善し、ビジネス応答を実施するのに役立つことができる。同時に、ビジネス情報ネットワーク化はセキュリティ上の脅威ももたらし、ビジネス自体のビジネスデータや企業顧客の機密データなどが漏洩すると、計り知れない損失が発生することになる。通信又は保存された情報は改ざんされると、より深刻な結果をもたらす。従って、ビジネス情報化の過程におけるセキュリティの問題は非常に重要である。
【発明の概要】
【発明が解決しようとする課題】
【0004】
現在、伝統的なコンピュータ分野では、セキュアソケットレイヤ バーチャルプライベートネットワーク(SSL VPN、SecureSocket Layer Virtual Private Network)によって安全なビジネスネットワークを構築することによって、ポイントツーネットワークの安全な適用の要件を満たすことができる。しかしながら、SSLVPN技術は、非対称鍵システムに基づいて構築されているため、非対称鍵アルゴリズムが将来的に解読されると予想される場合に、既存のSSLVPN技術によって構築されたセキュリティネットワークも、クラッキングされる可能性がある。
【課題を解決するための手段】
【0005】
本発明は、従来技術に存在している上記の技術的問題を解決するために、非対称鍵が解読された際の通信セキュリティ問題を回避し、通信をより安全にすることができる、量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステムを提供する。
【0006】
本発明実施例は、量子鍵チップの発行方法を提供し、量子鍵発行プラットフォームが、量子鍵を量子鍵チップに注入し、前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記量子鍵発行プラットフォームが鍵配布センターKDCと予め交渉することで前記量子鍵が取得されることと、
前記KDCが前記識別情報と前記識別情報に対応する量子鍵とをバインディングするように、前記量子鍵発行プラットフォームが前記量子鍵の識別情報を前記KDCに送信することと、を含む。
【0007】
好ましくは、前記量子鍵発行プラットフォームがKDCと予め交渉することで量子鍵を取得することは、具体的には、前記量子鍵発行プラットフォームが、自分に接続された第1の量子鍵管理端末と対応関係を確立し、前記鍵配布センターKDCが、自分に接続された第2の量子鍵管理端末と対応関係を確立することと、
前記量子鍵発行プラットフォームとKDCは、導出される量子鍵の数を交渉し、前記量子鍵発行プラットフォームが前記KDCから第2の量子鍵管理端末のIDを取得し、前記第1の量子鍵管理端末のIDを前記KDCに通知することと、
前記量子鍵発行プラットフォームとKDCは、それぞれ、交渉した数の量子鍵を自分に対応する量子鍵管理端末に要求して受信し、前記量子鍵が前記第1の量子鍵管理端末によって前記量子鍵発行プラットフォームに送信されると共に、前記量子鍵が前記第2の量子鍵管理端末によって前記KDCに送信されることと、を含む。
【0008】
本発明実施例はセキュアソケットレイヤバーチャルプライベートネットワークSSLVPN通信システムに適用される量子鍵チップの適用方法をさらに提供し、当該システムは、クライアント側SSLVPNと、サーバー側SSL VPNと、鍵配布センターKDCと、量子鍵チップとを含み、前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が正常である場合に、当該方法は、
前記クライアント側SSL VPNが前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNが前記サーバー側SSL VPNと交渉して、前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNが前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をプリマスター鍵として取得するようにし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCが予め、前記識別情報と前記識別情報に対応する量子鍵をバインディングすることと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、を含む。
【0009】
好ましくは、前記クライアント側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵を利用して、予め約束したアルゴリズムによって、セッション鍵を取得することは、具体的には、前記クライアント側SSL VPNが前記量子鍵チップからプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップに通知し、前記量子鍵チップから返されたセッション鍵を受信し、前記セッション鍵が、プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムとから前記量子鍵チップによって計算されること、を含む。
【0010】
好ましくは、前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が異常である場合に、当該方法は、前記クライアント側SSL VPNが、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSLVPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、を含む。
【0011】
好ましくは、前記クライアント側SSL VPN又は量子鍵チップがセッション鍵を利用して適用データを暗号化及び/又は復号化することをさらに含む。
【0012】
本発明の実施例は、セキュアソケットレイヤバーチャルプライベートネットワークSSL VPN通信システムに適用される量子鍵チップの適用方法をさらに提供し、当該システムは、クライアント側SSL VPNと、サーバー側SSL VPNと、鍵配布センターKDCと、量子鍵チップとを含み、前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が正常である場合に、当該方法は、
前記クライアント側SSL VPNが前記サーバー側SSLVPNと交渉して、前記量子鍵チップにおける量子鍵をセッション鍵として使用することと、
前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNが前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をセッション鍵として取得し、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCが予め、前記識別情報と前記識別情報に対応する量子鍵をバインディングすることと、を含む。
【0013】
好ましくは、前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵の交渉が異常である場合に、当該方法は、前記クライアント側SSL VPNが、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSLVPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することと、を含む。
【0014】
好ましくは、前記クライアント側SSL VPN又は量子鍵チップがセッション鍵を利用して適用データを暗号化及び/又は復号化することをさらに含む。
【0015】
本発明実施例は、発行プラットフォームをさらに提供し、鍵配布センターKDCと予め交渉することで取得された量子鍵を量子鍵チップに注入するための注入ユニットと、
前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられるバインディングユニットと、
前記KDCが前記識別情報と前記識別情報に対応する量子鍵をバインディングするように、前記量子鍵の識別情報を前記KDCに送信するための送信ユニットと、を含む。
【0016】
本発明実施例は、量子鍵チップと、クライアント側SSL VPNと、サーバー側SSL VPNと、鍵配布センターKDCとを含む量子鍵適用システムをさらに提供し、前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵交渉が正常であると確定した場合に、前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSLVPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信し、前記サーバー側SSL VPNと交渉して前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信し、
前記量子鍵チップは、前記第1の乱数を生成し、
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して、前記KDCから量子鍵をセッション鍵として取得し、
前記KDCは、前記識別情報と前記識別情報に対応する量子鍵を予めバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによってセッション鍵を取得する。
【0017】
好ましくは、前記クライアント側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することは、具体的には、前記クライアント側SSL VPNが前記量子鍵チップからプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが、前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップに通知し、前記量子鍵チップが、前記プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムを利用してセッション鍵を算出し、前記セッション鍵を前記クライアント側SSLVPNに送信することである。
【0018】
好ましくは、前記クライアント側SSL VPNはさらに、クライアント側SSL VPNとサーバー側SSLVPNによって実行される量子鍵の交渉が異常であると確定した場合に、生成された第1の乱数を前記サーバー側SSLVPNに送信し、
前記サーバー側SSL VPNは、生成された第2の乱数を前記クライアント側SSL VPNに送信し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
【0019】
好ましくは、前記クライアント側SSL VPNはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化するか、又は、前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する。
【0020】
本発明実施例は、量子鍵チップと、クライアント側SSL VPNと、サーバー側SSL VPNと、鍵配布センターKDCとを含む量子鍵適用システムをさらに提供し、前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵の交渉が正常であると確定した場合に、前記サーバー側SSLVPNと交渉して前記量子鍵チップにおける量子鍵をセッション鍵とし、前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信し、
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をセッション鍵として取得し、
前記KDCは予め、前記識別情報と前記識別情報に対応する量子鍵をバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられる。
【0021】
好ましくは、前記クライアント側SSL VPNはさらに、サーバー側SSL VPNとの量子鍵の交渉が異常であると確定した場合に、生成された第1の乱数を前記サーバー側SSLVPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
【0022】
好ましくは、前記クライアント側SSL VPNはさらに、セッション鍵を利用して、適用データを暗号化及び/又は復号化するか、
又は、前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する。
【0023】
従来の技術と比べると、本発明は少なくとも以下の利点を有する。即ち、本発明によって提供される発行方法は、量子鍵を量子鍵チップに注入し、量子鍵チップのID及び/又はユーザーのIDを量子鍵の識別情報として使用するので、KDCは、後続の量子鍵チップの特定の適用を容易にするように、量子鍵を効果的に管理できるようにする。また、量子鍵チップは、持ち運びが簡単で使いやすいので、量子鍵チップをSSLVPNのようなポイントツーエンドのアクセス方式と組み合わせて、モバイル端末における量子鍵の適用の利便性を効果的に向上させることができる。その中、モバイル端末は携帯電話、PADなどのモバイル装置であり得る。量子鍵のセキュリティレベルは比較的高いため、非対称アルゴリズムによる従来のSSLVPNシステムのセキュリティリスクは解決された。
【図面の簡単な説明】
【0024】
以下、本出願の実施例又は従来の技術における技術的解決策をより明確に説明するために、実施例又は従来技術の説明で使用する図面について簡単に説明する。明らかに、以下の説明における図面は、本願に記載されたいくつかの実施例に過ぎず、当業者にとっては、創造的な労力を払うことなく、これらの図面から他の図面を得ることもできる。
【0025】
【図1】本発明による量子鍵チップの発行方法実施例一のフローチャートである。
【図2】本発明による量子鍵チップの発行方法のシグナリング図である。
【図3】本発明による発行方法の場面の概略図である。
【図4】本発明による量子鍵チップの適用方法実施例一のフローチャートである。
【図5】本発明による適用方法実施例一に対応するシグナリング図である。
【図6】本発明による量子鍵チップの適用方法実施例二のフローチャートである。
【図7】本発明による適用方法実施例二に対応するシグナリング図である。
【図8】本発明による発行プラットフォームの概略図である。
【図9】本発明による量子鍵適用システム実施例一の概略図である。
【図10】本発明による典型的な適用場面図である。
【発明を実施するための形態】
【0026】
以下、当業者が本発明の解決策をよりよく理解できるようにするために、本発明の実施例における添付の図面を参照しながら、本発明の実施例における技術的解決策を明確かつ完全に説明する。記載された実施例は本発明の実施例の一部に過ぎず、全ての実施例ではないことは明らかである。創造的な努力なしに本発明の実施例に基づいて当業者によって得られる他の全ての実施例は、本発明の範囲内である。
【0027】
発行方法実施例一:
【0028】
図1を参照すると、当該図は、本発明による量子鍵チップの発行方法実施例一のフローチャートである。
【0029】
本実施例によって提供される量子鍵チップの発行方法は、以下のことを含む。S101:量子鍵発行プラットフォームは、量子鍵を量子鍵チップに注入し、前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記量子鍵発行プラットフォームが鍵配布センター(KDC、KeyDistribution Center)と予め交渉することで前記量子鍵が取得される。
【0030】
量子鍵発行プラットフォームとKDCとが交渉した量子鍵は共有量子鍵である、即ち、量子鍵発行プラットフォームとKDCが同じ内容の量子鍵を同数持っていることは理解すべきである。
【0031】
量子鍵チップは最終的にユーザーに発行されるので、量子鍵チップはユーザーのIDと1対1で対応し、発行時に予め設定されたPINコードも設定することができ、ユーザーが量子鍵チップを使用する時に、ユーザーが正当であるかどうかを検証するために、予め設定されたPINコードを入力する必要がある。
【0032】
量子鍵チップにおける量子鍵は、量子鍵チップのIDによって識別されてもよく、ユーザーのIDによって識別されてもよく、量子鍵チップのIDとユーザーのIDによって共同で識別されてもよい。
【0033】
S102:前記量子鍵発行プラットフォームは、前記量子鍵の識別情報を前記KDCに送信し、前記KDCが前記識別情報と前記識別情報に対応する量子鍵をバインディングするようにする。
【0034】
KDCに多くの量子鍵が格納される可能性があるので、KDCは、量子鍵の識別情報を利用して当該識別情報に対応する量子鍵を見つける必要がある。
【0035】
本実施例による発行方法は、量子鍵を量子鍵チップに注入し、量子鍵チップのID及び/又はユーザーのIDを量子鍵の識別情報として使用するので、KDCは、後続の量子鍵チップの特定の適用を容易にするように、量子鍵を効果的に管理できるようにする。また、量子鍵チップは、持ち運びが簡単で使いやすいので、量子鍵チップをSSLVPNのようなポイントツーエンドのアクセス方式と組み合わせて、モバイル端末における量子鍵の適用の利便性を効果的に向上させることができる。その中、モバイル端末は携帯電話、PADなどのモバイル装置であってよい。量子鍵のセキュリティレベルが比較的高いため、非対称アルゴリズムによる従来のSSLVPNシステムのセキュリティリスクは解決された。
【0036】
発行方法実施例二:
【0037】
図2を参照すると、当該図は本発明による量子鍵チップの発行方法のシグナリング図である。
【0038】
なお、量子鍵発行プラットフォームとKDCは、同一の量子鍵管理端末に対応してもよいし、異なる量子鍵管理端末に対応してもよい。以下、異なる量子鍵管理端末に対応することを例として説明する。量子鍵発行プラットフォームとKDCが同一の量子鍵管理端末に対応する場合に、原理も同様である。
【0039】
S1:前記量子鍵発行プラットフォームは、自分に接続された第1の量子鍵管理端末と対応関係を確立し、前記鍵配布センターKDCは、自分に接続された第2の量子鍵管理端末と対応関係を確立し、確立された対応関係を利用して、KDCと量子鍵発行プラットフォームは、それぞれ自分に接続された量子鍵管理端末に対して身元認証を行う。
【0040】
なお、量子鍵管理端末に対して身元認証を行うことは必須なステップではなく、セキュリティを向上させるためであることに留意されたい。
【0041】
S2:KDCと量子鍵発行プラットフォームは導出される量子鍵の数を交渉し、前記量子鍵発行プラットフォームは前記KDCから第2の量子鍵管理端末のIDを取得し、前記第1の量子鍵管理端末のIDを前記KDCに通知する。
【0042】
S3:KDCと量子鍵発行プラットフォームは、交渉した後、それぞれ自分に接続された量子鍵管理端末に量子鍵を要求する。
【0043】
即ち、KDCは第2の量子鍵管理端末に量子鍵を要求し、量子鍵発行プラットフォームは、第1の量子鍵管理端末に量子鍵を要求する。
【0044】
S4:KDCと量子鍵発行プラットフォームはそれぞれ、対応する量子鍵管理端末から返された量子鍵を受信する。
【0045】
好ましくは、量子鍵管理端末は、鍵プール内の残りの量子鍵の量が要件を満たすかどうかを検出するための鍵プール検出を行い、満たす場合、交渉した数の量子鍵を直接返すことができ、満たさない場合、通知情報を返して、導出される量子鍵の数についてKDCと量子鍵発行プラットフォームによって再交渉することができ、鍵プール内の量子鍵の数が要件を満たすまで待って、対応する数の量子鍵を返すこともできる。
【0046】
S5:量子鍵発行プラットフォームは、量子鍵を量子鍵チップに注入し、前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられる。
【0047】
なお、量子鍵発行プラットフォームは、量子鍵の識別情報をKDCに送信し、KDCは、後に量子鍵チップを使用するときに対応する量子鍵を見つけるために、量子鍵の識別情報と対応する量子鍵とをバインディングして記憶することに留意されたい。
【0048】
また、量子鍵発行プラットフォームは、ユーザーが量子鍵チップを使用する際の正当性検証用の量子鍵チップのPINコードも設定する。
【0049】
一般的に、量子鍵管理端末に記憶される量子鍵は、当該量子鍵が共有されている量子鍵管理端末の装置IDによって識別される。そのため、KDCと量子鍵発行プラットフォームは、導出される量子鍵の数、両方の量子鍵管理端末の装置IDを交渉することで、装置IDによって、それぞれ自分に接続された量子鍵管理端末に対して対応する数の共有量子鍵を要求し取得することができる。
【0050】
なお、以上、KDCと量子鍵発行プラットフォームが異なる量子鍵管理端末に対応することについて説明した。KDCと量子鍵発行プラットフォームが同一の量子鍵管理端末に対応する際に、当該量子鍵管理端末によって、量子鍵をKDCに送信し、量子鍵のコピーを量子鍵発行プラットフォームに送信することができる。
【0051】
上記の実施例によって提供される方法をよりよく理解するために、以下、適用場面と併せてさらに説明し、詳細については、本発明による発行方法の場面の概略図である図3を参照する。
【0052】
地域から内部ネットワークと外部ネットワークに分け、SSL VPNは外部ネットワークが内部ネットワークにアクセスする境界装置として使用される。
【0053】
量子鍵チップは発行された後ユーザーによって使用されるので、外部ネットワークにおける量子鍵チップは発行された後にユーザーによって使用される。内部ネットワークにおける量子鍵チップと外部ネットワークにおける量子鍵チップは同一であり、理解の便宜上、量子鍵チップは内部ネットワークに入れて、発行の過程を説明する。
【0054】
内部ネットワークでは、適用サーバー(例えば、Webサーバー、OA管理システム、メールサーバーなど)、サーバー側SSLVPN、KDC、量子鍵管理端末、量子鍵配布(QKD、Quantum Key Distribution)システム、及び量子鍵発行プラットフォームを配置する必要があり、また、量子鍵チップはモバイル装置として、内部ネットワークによって発行された後にユーザーに配布される。
【0055】
主な機能の説明:SSL VPN:境界の認証アクセスを担当し、内部ネットワークの境界エントリである。
【0056】
QKDシステム:量子ネットワークによって、量子鍵を生成する。
【0057】
量子鍵管理端末: QKDシステムによって生成された量子鍵を取得し格納することを担当する。
【0058】
KDC:量子鍵発行プラットフォームとの交渉を担当し、量子鍵管理端末から量子鍵を導出する動作を完成し、量子鍵の識別情報を登録し、量子鍵と量子鍵チップとの対応関係をバインディング及び維持し、量子鍵の識別情報が量子鍵チップのID及び/又はユーザーのIDであってもよい。
【0059】
量子鍵発行プラットフォーム:量子鍵の導出をKDCと交渉し、量子鍵チップの発行を完成し、量子鍵を量子鍵チップに導入し、量子鍵チップのIDとユーザーのIDを1対1の対応でバインディングする。
【0060】
量子鍵チップ:量子鍵を搭載し、ユーザーと1対1でバインディングする。
【0061】
なお、KDC、量子鍵発行プラットフォーム、量子鍵管理端末、及びQKDは独立して存在してもよいし、統合されてもよいことに留意されたい。
【0062】
以下、添付の図面を参照しながら、上記の実施例による発行方法に基づいて発行された量子鍵チップの適用方法を説明する。
【0063】
適用方法実施例一:
【0064】
図4を参照すると、当該図は本発明による量子鍵チップの適用方法実施例一のフローチャートである。
【0065】
本実施例による量子鍵チップの適用方法は、セキュアソケットレイヤバーチャルプライベートネットワークSSLVPN通信システムに適用され、当該システムは、クライアント側SSL VPNと、サーバー側SSL VPNと、鍵配布センターKDCと、量子鍵チップとを含み、前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、当該方法は、以下のことを含む。
【0066】
S401:前記クライアント側SSL VPNは、前記量子鍵チップから第1の乱数を取得し、前記第1の乱数を前記サーバー側SSL VPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信する。
【0067】
S402:前記クライアント側SSL VPNは、前記サーバー側SSLVPNと交渉して、前記量子鍵チップにおける量子鍵をプリマスター鍵とし、前記量子鍵チップにおけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信することで、前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をプリマスター鍵として取得し、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCは予め、前記識別情報と前記識別情報に対応する量子鍵をバインディングする。
【0068】
S403:前記クライアント側SSL VPNと前記サーバー側SSL VPNは、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
【0069】
前記クライアント側SSL VPNが前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することは、具体的には、前記クライアント側SSL VPNが前記量子鍵チップからプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPNが前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップに通知し、前記量子鍵チップから返されたセッション鍵を受信し、前記セッション鍵は、前記量子鍵チップによってプリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムから計算されることを含む。
【0070】
本実施例では、第1の乱数とプリマスター鍵は量子鍵チップによって提供される。このようにして、量子鍵の高度なセキュリティ機能を十分に活用することができ、プレマスター鍵の更新頻度を向上させ、それによって元のSSLプロトコル全体のセキュリティを向上させるのに有益である。
【0071】
上記方法は、クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、量子鍵チップを使用して第1の乱数を生成し、量子鍵チップにおける量子鍵をプリマスター鍵として使用することであるが、クライアント側SSLVPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、量子鍵チップにおける量子鍵をプリマスター鍵として使用することができないため、プリマスター鍵の交渉は、SSLプロトコルにおける元の交渉メカニズムを利用して実行することができる。即ち、以下のSSLプロトコルの交渉メカニズムを参照する。
【0072】
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、当該方法は、前記クライアント側SSL VPNは、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSLVPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、プリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNは、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することとを含む。
【0073】
本実施例では、量子鍵を交渉する際に問題が発生する場合に、保留される元のSSLプロトコルにおけるプリマスター鍵の交渉メカニズムを利用することができ、つまり、2種類のプリマスター鍵ソースがある。量子鍵がプリマスター鍵として問題が発生する場合に、SSLプロトコルの元の交渉メカニズムのプリマスター鍵を利用することで、元のSSLプロトコルとの効果的な互換性を達成することができる。そして、量子鍵をプリマスター鍵として使用するのが好ましい。詳細については、図5に示す適用方法実施例一に対応するシグナリング図を参照することができる。なお、ユーザーが量子鍵チップを使用する際に正当性検証が必要であり、例えば、発行時に予め設定されたPINコードを使用して、検証が正当である場合のみにユーザーに適用権限を開くことができる。正当検証は他の方法でも実施できる。例えば、指紋によるユーザーの正当性の検証など、正当性検証にバイオメトリクスを利用する。
【0074】
また、前記クライアント側SSL VPN又は量子鍵チップがセッション鍵を利用して適用データを暗号化及び/又は復号化することをさらに含む。
【0075】
セッション鍵の計算及び適用データの暗号化及び/又は復号化は量子鍵チップで完成でき、量子鍵チップは、量子鍵と乱数をクライアント側SSLVPNに提供するプロバイダとして使用するだけであり、セッション鍵の計算及び/又は適用データの暗号化と復号化は、クライアント側SSLVPN自身によって完成されてもよい。
【0076】
適用方法実施例二:
【0077】
図6を参照すると、当該図は本発明による量子鍵チップの適用方法実施例二のフローチャートである。
【0078】
本実施例による量子鍵チップの適用方法は、セキュアソケットレイヤバーチャルプライベートネットワークSSLVPN通信システムに適用され、当該システムは、クライアント側SSL VPNと、サーバー側SSL VPNと、鍵配布センターKDCと、量子鍵チップとを含み、前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、当該方法は、以下のことを含む。
【0079】
S601:前記クライアント側SSL VPNは前記サーバー側SSL VPNと交渉して、前記量子鍵チップにおける量子鍵をセッション鍵として使用する。
【0080】
S602:前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSL VPNに送信することで、前記サーバー側SSL VPNは前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をセッション鍵として取得し、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられ、前記KDCは予め、前記識別情報と前記識別情報に対応する量子鍵をバインディングする。
【0081】
本実施例では、量子鍵チップにおける量子鍵をそのままセッション鍵として使用する。このようにして、量子鍵の高度なセキュリティ機能を十分に活用することができ、これはプレマスター鍵の更新頻度を向上させ、元のSSLプロトコル全体のセキュリティを向上させるのに有益である。
【0082】
上記方法は、クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、量子鍵チップにおける量子鍵をそのままセッション鍵として使用することができることである。しかし、クライアント側SSLVPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、量子鍵チップにおける量子鍵をプリマスター鍵として使用することができないため、SSLプロトコルにおける元の交渉メカニズムを利用して、プリマスター鍵の交渉を実行して、セッション鍵の計算を行うことができる。即ち、以下のSSLプロトコルの交渉メカニズムを参照する。
【0083】
前記クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、当該方法は、前記クライアント側SSL VPNは、生成された第1の乱数をサーバー側SSL VPNに送信し、前記サーバー側SSLVPNによって送信される第2の乱数を受信することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNがプリマスター鍵の交渉を実行することと、
前記クライアント側SSL VPNと前記サーバー側SSL VPNとが前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して予め約束したアルゴリズムによって、セッション鍵を取得することとを含む。
【0084】
本実施例では、量子鍵を交渉する際に問題が発生する場合に、保留される元のSSLプロトコルにおけるプリマスター鍵の交渉メカニズムを利用してセッション鍵を計算することができ、つまり、2種類のプリマスター鍵ソースがある。量子鍵がプリマスター鍵として問題が発生する場合に、SSLプロトコルのオリジナルの交渉メカニズムのプリマスター鍵を利用して、セッション鍵の計算を実行することで、元のSSLプロトコルとの効果的な互換性を達成することができる。そして、量子鍵をプリマスター鍵として使用するのが好ましい。詳細については、図7に示す適用方法実施例二に対応するシグナリング図を参照することができる。図5と同じ部分については説明を省略する。
【0085】
また、前記クライアント側SSL VPN又は量子鍵チップがセッション鍵を利用して適用データを暗号化及び/又は復号化することをさらに含む。
【0086】
セッション鍵の計算及び適用データの暗号化及び/又は復号化は、量子鍵チップで完成でき、量子鍵チップは、量子鍵をクライアント側SSLVPNに提供するプロバイダとして使用するだけであり、セッション鍵の計算及び/又は適用データの暗号化と復号化は、クライアント側SSLVPN自身によって完成されてもよい。
【0087】
本発明は、上記の実施例によって提供される量子鍵チップの発行方法及び適用方法に基づいて、発行プラットフォームをさらに提供し、以下、添付の図面を参照しながら詳細に説明する。
【0088】
図8を参照して、当該図は本発明による発行プラットフォームの概略図である。
【0089】
本実施例によって提供される発行プラットフォームは、注入ユニット801と、バインディングユニット802と、送信ユニット803とを含む。
【0090】
前記注入ユニット801は、予め鍵配布センターKDCと交渉することで取得された量子鍵を量子鍵チップに注入する。
【0091】
前記バインディングユニット802は、前記量子鍵チップのIDを、当該量子鍵チップを使用するユーザーのIDと1対1の対応でバインディングし、前記量子鍵チップのID及び/又はユーザーのIDはいずれも当該量子鍵チップにおける量子鍵の識別情報として用いることができる。
【0092】
前記送信ユニット803は、前記量子鍵の識別情報を前記KDCに送信し、前記KDCが前記識別情報と前記識別情報に対応する量子鍵をバインディングするようにする。
【0093】
本実施例による発行プラットフォームは、量子鍵を量子鍵チップに注入し、量子鍵チップのID及び/又はユーザーのIDを量子鍵の識別情報として使用するので、KDCは、後続の量子鍵チップの特定の適用を容易にするように、量子鍵を効果的に管理できるようにする。また、量子鍵チップは、持ち運びが簡単で使いやすいので、量子鍵チップをSSLVPNのようなポイントツーエンドのアクセス方式と組み合わせて、モバイル端末における量子鍵の適用の利便性を効果的に向上させることができる。その中、モバイル端末は携帯電話、PADなどのモバイル装置であってもよい。量子鍵のセキュリティレベルは比較的高いため、非対称アルゴリズムによる従来のSSLVPNシステムのセキュリティリスクは解決された。
【0094】
当該発行プラットフォームは、他の実施例では説明した量子鍵発行プラットフォームである。
【0095】
適用システム実施例一:
【0096】
図9を参照すると、当該図は本発明による量子鍵適用システム実施例一の概略図である。
【0097】
本実施例による量子鍵適用システムは、量子鍵チップ901と、クライアント側SSL VPN902と、サーバー側SSL VPN903と、鍵配布センターKDC904とを含む。
【0098】
前記クライアント側SSL VPN902は、サーバー側SSL VPN903との量子30鍵交渉が正常であると確定した場合に、前記量子鍵チップ901から第1の乱数を取得し、前記第1の乱数を前記サーバー側SSLVPN903に送信し、前記サーバー側SSL VPN903によって送信される第2の乱数を受信し、前記サーバー側SSL VPN903と交渉して前記量子鍵チップ901における量子鍵をプリマスター鍵として使用し、前記量子鍵チップ901におけるプリマスター鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPN903に送信する。
【0099】
前記量子鍵チップ901は、前記第1の乱数を生成する。
【0100】
前記サーバー側SSL VPN903は、前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDC904からプリマスター鍵とする量子鍵を取得する。
【0101】
前記KDC904は、前記識別情報と前記識別情報に対応する量子鍵を予めバインディングし、前記量子鍵チップ901のID及び/又はユーザーのIDが量子鍵チップ901における量子鍵の識別情報として用いられる。
【0102】
前記クライアント側SSL VPN902と前記サーバー側SSL VPN903はさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
【0103】
前記クライアント側SSL VPN902が前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得することは、具体的には、前記クライアント側SSL VPN902が、前記量子鍵チップ901からプリマスター鍵とする量子鍵を取得し、前記第1の乱数と、第2の乱数と、プリマスター鍵とする量子鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得するか、
又は、
前記クライアント側SSL VPN902が、前記第2の乱数と予め約束したアルゴリズムを前記量子鍵チップ901に通知し、前記量子鍵チップ901が、前記プリマスター鍵とする量子鍵と、前記第1の乱数と、前記第2の乱数と、予め約束したアルゴリズムとを利用してセッション鍵を計算し、前記セッション鍵を前記クライアント側SSLVPN902に送信する。
【0104】
本実施例では、第1の乱数とプリマスター鍵は量子鍵チップ901によって提供される。このようにして、量子鍵の高度なセキュリティ機能を十分に活用することができ、これはプレマスター鍵の更新頻度を向上させ、元のSSLプロトコル全体のセキュリティを向上させるのに有益である。
【0105】
上記システムは、クライアント側SSL VPN902とサーバー側SSL VPN903によって実行される量子鍵交渉が正常である場合に、量子鍵チップ901を利用して第1の乱数を生成し、量子鍵チップ901における量子鍵をプリマスター鍵として使用することができるが、クライアント側SSLVPN902とサーバー側SSL VPN903によって実行される量子鍵交渉が異常である場合に、量子鍵チップ901における量子鍵をプリマスター鍵として使用することができないため、SSLプロトコルにおける元の交渉メカニズムを利用してプリマスター鍵の交渉を実行することができる。
【0106】
即ち、前記クライアント側SSL VPN902はさらに、サーバー側SSL VPN903との量子鍵交渉が異常であると確定した場合に、生成された第1の乱数をサーバー側SSLVPN903に送信し、
前記サーバー側SSL VPN903は、生成された第2の乱数を前記クライアント側SSL VPN902に送信し、
前記クライアント側SSL VPN902と前記サーバー側SSL VPN903は、プリマスター鍵の交渉を実行し、
前記クライアント側SSL VPN902と前記サーバー側SSL VPN903は、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
【0107】
本実施例では、量子鍵を交渉する際に問題が発生する場合に、保留される元のSSLプロトコルにおけるプリマスター鍵の交渉メカニズムを利用することができ、つまり、2種類のプリマスター鍵ソースがある。量子鍵がプリマスター鍵として使用される際に問題が発生する場合に、SSLプロトコルの元の交渉メカニズムのプリマスター鍵を利用することで、元のSSLプロトコルとの効果的な互換性を達成することができる。そして、量子鍵をプリマスター鍵として使用するのが好ましい。
【0108】
また、前記クライアント側SSL VPN902はさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化するか、又は、
前記量子鍵チップ901はさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する。
【0109】
セッション鍵の計算及び適用データの暗号化及び/又は復号化は、量子鍵チップ901で完成でき、量子鍵チップ901は、量子鍵と乱数をクライアント側SSLVPN902に提供するプロバイダとして使用するだけであり、セッション鍵の計算及び/又は適用データの暗号化と復号化は、クライアント側SSLVPN902自身によって完成されてもよい。
【0110】
適用システム実施例二:
【0111】
本実施例による量子鍵適用システムは、量子鍵チップと、クライアント側SSLVPNと、サーバー側SSL VPNと、鍵配布センターKDCとを含む。
【0112】
前記クライアント側SSL VPNは、サーバー側SSL VPNとの量子鍵交渉が正常であると確定した場合に、前記サーバー側SSLVPNと交渉して前記量子鍵チップにおける量子鍵をセッション鍵とし、前記量子鍵チップにおけるセッション鍵とする量子鍵のインデックス及び量子鍵の識別情報を前記サーバー側SSLVPNに送信する。
【0113】
前記サーバー側SSL VPNは、前記量子鍵のインデックス及び量子鍵の識別情報を利用して前記KDCから量子鍵をセッション鍵として取得する。
【0114】
前記KDCは、前記識別情報と前記識別情報に対応する量子鍵を予めバインディングし、前記量子鍵チップのID及び/又はユーザーのIDが当該量子鍵チップにおける量子鍵の識別情報として用いられる。
【0115】
本実施例では、量子鍵チップにおける量子鍵をそのままセッション鍵として使用する。このようにして、量子鍵の高度なセキュリティ機能を十分に活用することができ、これはプレマスター鍵の更新頻度を向上させ、元のSSLプロトコル全体のセキュリティを向上させるのに有益である。。
【0116】
上記方法は、クライアント側SSL VPNとサーバー側SSL VPNによって実行される量子鍵交渉が正常である場合に、量子鍵チップにおける量子鍵をそのままセッション鍵として使用することができるが、クライアント側SSLVPNとサーバー側SSL VPNによって実行される量子鍵交渉が異常である場合に、量子鍵チップにおける量子鍵をセッション鍵として使用することができないため、SSLプロトコルにおける元の交渉メカニズムを利用して、プリマスター鍵の交渉を実行して、セッション鍵の計算を実行することができる。
【0117】
前記クライアント側SSL VPNはさらに、サーバー側SSL VPNとの量子鍵交渉が異常であると確定した場合に、生成された第1の乱数をサーバー側SSLVPNに送信し、前記サーバー側SSL VPNによって送信される第2の乱数を受信する。
【0118】
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、プリマスター鍵の交渉を行う。
【0119】
前記クライアント側SSL VPNと前記サーバー側SSL VPNはさらに、前記第1の乱数と、第2の乱数と、プリマスター鍵とを利用して、予め約束したアルゴリズムによって、セッション鍵を取得する。
【0120】
また、前記クライアント側SSL VPNはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化するか、又は、
前記量子鍵チップはさらに、セッション鍵を利用して適用データを暗号化及び/又は復号化する。
【0121】
量子鍵チップを利用して適用データを暗号化及び/又は復号化することによって、セキュリティを向上させることができる。
【0122】
本発明の上記の全ての実施例の特定の適用場面を、図10を参照して以下に説明する。
【0123】
なお、適用サーバーは本社に集中し、KDCも本社に配置され、本社と子会社との間で量子ネットワークを介して量子鍵を生成することができる。量子鍵発行プラットフォームを使用して量子鍵チップが発行されるときに、量子鍵が量子鍵チップに記憶され、同じ量子鍵がKDCによって記憶及び管理される。ユーザーが公衆ネットワーク上にある場合に、量子鍵チップを利用してクライアント側SSL VPNによって本社のサーバー側SSL VPNにアクセスすることによって、適用サーバーにアクセスすることができる。
【0124】
このような量子鍵を搭載する量子鍵チップは持ち運びが簡単で使いやすく、SSLVPNのようなポイントツーエンドのアクセス方式とうまく組み合わされて、モバイル機器側における量子鍵の適用の利便性を向上させる。また、量子鍵チップのIDとユーザーのIDが1対1でバインディングされ、ユーザーのIDレベルを上げている。同時に、量子鍵は量子鍵チップに安全に記憶され、チップ内でデータを暗号化及び復号化することができ、それによってシステム全体のセキュリティ保護レベルを向上させる。さらに、クライアント側SSLVPNと量子鍵チップは有機的に結合されていることで、元の交渉過程をサポートしながら、量子鍵チップへのアクセスのサポートも拡張し、システムの互換性と適応性が維持される。
【0125】
上記の説明は、本発明の好ましい実施形態にすぎず、本発明を限定することを決して意図するものではない。以上、発明を実施するための好ましい実施例について説明を行ったが、本発明はこれらに限定されるものではない。当業者であれば、本発明の技術的解決策の範囲から逸脱することなく、上記の方法と技術内容を使用して、本発明の技術的解決策に対して多くの可能な変形および修正を行うことができ、或いは同等の変形、同等の実施例に修正することができる。したがって、本発明の技術的解決法から逸脱しないものであれば、本発明の技術的思想に従って上述の実施形態になされた任意の簡単な修正、均等な変更、及び修正も、依然として本発明の技術的解決策の保護範囲内にある。
【国際調査報告】